Google keerde in 2022 hoogste bugbounty ooit uit
Google keerde in 2022 in totaal 11,33 miljoen euro aan bugbounty's uit. Een recordbedrag voor het Vulnerability Reward Program (VPR). Ook keerde Google in 2022 de hoogte bugbounty ooit uit.
Nooit eerder keerde Google zoveel geld uit via het Vulnerability Reward Program. In 2021 ging het nog om 8,2 miljoen euro en in 2018 keerde Google slechts 3,2 miljoen dollar uit. In zeven jaar tijd ging het bedrag zelfs zesmaal over de kop; toen het programma in 2015 werd opgestart keerde Google nog zo’n 1,8 miljoen dollar uit. Dat die uitgaven flink toenamen heeft alles te maken met de toegenomen ‘acceptatie’ voor de bedrijven die zulke beveiligingslekken opsporen.
Bugbounty-uitkeringen in 2022
Het gros van de uitgekeerde bugbounty’s komen toe aan onderzoekers die beveiligingsproblemen in Android en Google Chrome opspoorden; met 4,5 miljoen euro aan uitgekeerde bounty’s voor Android en 3,8 miljoen euro voor bugs die werden opgespoord in de Chrome-browser en Chrome OS. Het Chrome-ecosysteem was volgens Google goed voor 470 van de 2.900 bugs die via het VRP werden opgespoord en gerepareerd. 110 van de problemen waren gelinkt aan het Chrome OS-besturingssysteem.
Google noemt in zijn blogpost geen exacte aantallen voor Android. Wel meldt het dat het nieuwe invite-only Android Chipset Security Reward Program (ACSRP), waarmee het bugs opspoort in samenwerking met chipfabrikanten, goed was voor 700 opgespoorde bugs. Onderzoekers verdienden met de 700 opgespoorde bugs zo’n 458.000 euro. Details over de opgespoorde bugs en voor welke chipfabrikanten de meeste bugs werden opgespoord, laat Google in het midden.